Beim Update-Dienstag im April hat Microsoft 74 Schwachstellen behoben. Kritische Lücken stecken in Windows, Edge und IE. Hinzu kommen zwei 0-Day-Lücken im Windows-Kernel.

Die beim Microsoft Patch Day im April bereitgestellten Updates sollen insgesamt 74 Sicherheitslücken schließen. Darunter sind 16 Schwachstellen, die Microsoft als kritisch einstuft. Sie betreffen Windows sowie die Browser Edge und Internet Explorer. Die restlichen 58 Lücken stuft Microsoft als hohes Risiko ein, darunter zwei, die bereits für Angriffe genutzt werden.

Internet Explorer (IE)

Das neue kumulative Sicherheits-Update (4493435) für den Internet Explorer 9 bis 11 beseitigt im April fünf Schwachstellen in dem betagten Browser. Eine der Lücken (CVE-2019-0753) ist als kritisch eingestuft. Eine Manipulationslücke (CVE-2019-0764) teilt sich der IE mit Edge.

Edge

Im Browser Edge hat Microsoft im April neun Lücken gestopft, von denen der Hersteller sieben als kritisch einstuft. Die Scripting Engine „Chakra“ ist auch diesmal in vielen Fällen die Fehlerquelle. Chakra und Edge behandeln Speicherobjekte nicht korrekt und ermöglichen es so einem Angreifer Code einzuschleusen und mit Benutzerrechten auszuführen.

Office

Für seine Office-Familie liefert Microsoft im April Updates gegen zehn Sicherheitslücken aus. Microsoft stuft alle Office-Lücken als wichtig ein. Sieben der Schwachstellen sind geeignet, um mittels präparierter Dateien beliebigen Code einzuschleusen und mit den Rechten des angemeldeten Benutzers auszuführen. Ein Schwerpunkt liegt in diesem Monat auf dem Office-Konnektivitätsmodul für Access, in dem Microsoft fünf Lücken gestopft hat.

Windows
Gut die Hälfte der Schwachstellen verteilt sich über die verschiedenen Windows-Versionen, für die Microsoft noch Sicherheits-Updates anbietet. Als kritisch stuft Microsoft acht dieser 38 Lücken ein. Dazu zählt es eine Schwachstelle in der Grafikschnittstelle GDI+ (CVE-2019-0853) aller Windows-Versionen. Mit einer speziell präparierten EMF-Datei oder einer Web-Seite könnte ein Angreifer beliebigen Code ausführen und die Kontrolle über das System übernehmen. GDI+ wird vor allem durch Windows und Office-Programme genutzt.

Gleich fünf gravierende Lücken hat Microsoft im XML-Dienst geschlossen. Weil dessen MSXML-Parser Benutzereingaben falsch verarbeitet, kann ein Angreifer mittels einer präparierten Web-Seite Code einschleusen und ausführen. Nicht als kritisch gilt hingegen die Sicherheitslücke CVE-2019-0856 in allen Windows-Versionen. Verbindet sich ein angemeldeter Benutzer über den Remote Registry-Dienst, kann er beliebigen Code ausführen und die Kontrolle über das System erlangen.

Weitere Schwachstellen

In der in allen Windows-Versionen enthaltenen Jet-Datenbank-Engine hat Microsoft fünf Sicherheitslücken geschlossen, die geeignet sind, um Code einzuschleusen und auszuführen, jedoch nur als wichtig eingestuft sind. Im Team Foundation Server hat Microsoft acht Spoofing- und XSS-Lücken beseitigt. Zwei weitere Spoofing-Lücken betreffen Exchange Server 2013 bis 2019, eine davon auch Exchange Server 2010.
Quelle und Informationen : https://www.pcwelt.de/news/Patch-Day...-10572371.html